KosPy: Android'e dünya çapında saldıran Kuzey Kore casus yazılımı hakkında her şey

  • KosPy, Google Play Store ve alternatif mağazalardaki sahte uygulamalar aracılığıyla dağıtılan gelişmiş bir casus yazılımdır.
  • Kötü amaçlı yazılımın, APT37 (ScarCruft) ve APT43 (Kimsuky) gibi Kuzey Kore devleti tarafından işletilen siber casusluk gruplarıyla bağlantılı olduğu ortaya çıktı.
  • Kişisel verileri, mesajları, aramaları ve konumu sızdıran ve telefonun kritik işlevlerini kontrol eden bu saldırgan, Lookout uzmanlarının uyarısı sonrasında ortadan kaldırıldı.
Joaquin Romero

9 minutos

Kuzey Kore casus yazılımı KosPy hakkında her şeyi öğrenin.

Kuzey Kore tarafından organize edilen karmaşık bir dijital casusluk kampanyasının tespit edilmesinin ardından Android cihaz güvenliği yeniden ilgi odağı haline geldi. Bu karmaşık senaryonun kahramanı, meşru uygulamalar kisvesi altında dünyanın dört bir yanındaki binlerce cep telefonuna bulaşmayı başaran ve çeşitli ülkelerdeki kullanıcıların kişisel ve gizli verilerini toplayan bir casus yazılım olan KosPy'dir. Bu kapsamlı makalede, KosPy hakkında bildiğimiz her şeyi, kökeninden, dağıtım yöntemine, teknik yeteneklerinden, yayılmasını durdurmak için alınan önlemlere kadar ele alacağız ve gelecekte benzer tehditlere karşı kendinizi korumak için faydalı önerilerde bulunacağız.

Eğer dosyalarınızı yönetmek veya Android cihazınızın güvenliğini artırmak için Google Play Store gibi mağazalardan veya alternatif platformlardan bir uygulama indirdiyseniz, bu sizin için oldukça ilgi çekici olacaktır. Bu casus yazılımın güvenlik kontrollerini nasıl atlattığını, ne tür bilgileri toplayabildiğini, neden Kuzey Kore istihbaratıyla bağlantılı bir tehdit olarak kabul edildiğini ve çok geç olmadan uyarı işaretlerini nasıl tespit edebileceğimizi inceleyelim.

KosPy nedir ve arkasında kim var?

KosPy, Android cihazlarda tespit edilen ve Kuzey Kore devlet destekli siber casusluk gruplarıyla doğrudan bağlantısı bulunan bir casus yazılım programıdır. Mobil cihaz tehditleri konusunda uzmanlaşmış bir siber güvenlik firması olan Lookout ekibi, bu kötü amaçlı yazılımın hem Google Play Store'da hem de APKPure gibi üçüncü taraf uygulama mağazalarında bulunan görünüşte zararsız uygulamalarda barındırıldığını tespit ederek varlığını belgeledi.

WhatsApp'ta Canlı Fotoğraflar nasıl gönderilir
İlgili makale:
WhatsApp, mobil güvenliği tehlikeye atan casus yazılımlar konusunda uyarıyor

KosPy, esas olarak şu şekilde bilinen bir gruba atfedilir: APT37 veya ScarCruftKuzey Kore hükümetiyle bağlantılı olarak on yıldan fazla süredir yürüttüğü siber casusluk faaliyetleriyle tanınan bir grup. Sadece bu değil: KosPy tarafından kullanılan dijital altyapı, başka bir ünlü grup olan Kimsuky (APT43) ile bağlantıları paylaşıyorBu da yalnızca devlet aktörlerinin karşılayabileceği düzeyde bir koordinasyon ve teknik kaynak sağlıyor.

Kuzey Kore'nin geliştirdiği casus yazılım KosPy'ye dikkat edin

Dağıtım yöntemleri: KosPy binlerce Android'e böyle sızdı

KosPy'nin en büyük yaratıcılığı (ve tehlikesi) yayılma biçiminde yatıyor; Google'ın sıkı kontrollerini aşmayı ve gerçek bir uygulama gibi gizlice içeri sızmayı başarıyor., resmi uygulama mağazalarına duyulan güveni tehlikeye atan bir sorun.

En dikkat çeken teknikler arasında:

  • Yardımcı araç kılığına girmiş sahte uygulamalar (dosya yöneticileri, yazılım güncelleme yardımcı programları, güvenlik geliştirmeleri, vb.)
  • Varlığı İngilizce ve Korece temel arayüzler ve başlıklarBelirli bir kitleye hitap eden.
  • KosPy'yi « gibi uygulamalara dahil etmekMobil telefon yöneticisi (telefon yöneticisi)», «Dosya Yöneticisi""Akıllı Yönetici (akıllı yönetici)», «Kakao Güvenliği (Kakao Güvenliği)» ve «Yazılım Güncelleme Yardımcı Programı«. Hepsi Google Play Store'da yasal olarak onaylanmış ve hatta APKPure'da bile kopyalanmıştır.
  • Platform manipülasyonu Komuta ve kontrol altyapısı olarak Firebase (C2) ve uygulama mağdurun cihazına yüklendikten sonra ek yapılandırmaları dinamik olarak indirmek.

Bu uygulamaların geliştiricileri, "Android Utility Developer" takma adıyla faaliyet gösteriyor ve fark edilmemek için iletişim e-posta adresleri bile veriyorlardı. Araştırmacıların uyarısı üzerine Google, mağazasından tüm virüslü uygulamaları kaldırmakla kalmadı, aynı zamanda ilgili Firebase projelerini de devre dışı bırakarak, tehlikeye atılan cihazlarla siber suçluların sunucuları arasındaki iletişim kanalını kesti.

KosPy cihazı enfekte ettikten sonra nasıl davranıyor?

KosPy ile ilgili temel endişeler, toplayabildiği veri yelpazesinin genişliği ve çıkarma yöntemlerinin karmaşıklığıdır. Bu sahte uygulamalardan birini açtığınızda KosPy arka planda çalışmaya başlıyor, tespit edilememek için kötü amaçlı kodunu yerleştiriyor ve yükseltilmiş erişim izinleri istiyor.

Casus yazılımların en önemli teknik yetenekleri arasında şunlar yer alır:

  • SMS mesajlarının okunması ve sızdırılması.
  • elde edilmesi çağrı kayıtları ve kişiler.
  • GPS konum izleme, gerçek zamanlı kullanıcı takibi.
  • Erişim telefonda yerel olarak depolanan dosyalar ve klasörler.
  • Kaydı ortam sesi mikrofonu kullanma ve fotoğraf çekme kamera aracılığıyla.
  • Yakalama ekran görüntüleri ve ekran kayıtları, mobilde görüntülenen veya yapılan her şeyi kelimenin tam anlamıyla gözetliyor.
  • Erişilebilirlik hizmetlerini kullanarak tuş vuruşlarını ve uygulama kullanımını kaydetmeBu da şifrelerin ve kimlik bilgilerinin ele geçirilmesine olanak tanıyabilir.
  • Hakkında bilgi edinme Cihazın bağlandığı WiFi ağları ve yüklü uygulamaların listesi.

Veriler, Kuzey Koreli bilgisayar korsanlarının kontrolündeki C2 sunucularına şifrelenmiş şekilde (önceden tanımlanmış bir AES algoritması kullanılarak) iletiliyor; bu da geleneksel tespit yöntemlerinin bilgi sızıntısını tespit etmesini zorlaştırıyor.

KosPy kimleri hedef alıyordu?

KosPy küresel çapta yayılmış olsa da saldırıların çoğu Korece ve İngilizce konuşan kullanıcıları hedef aldı.. Uygulamaların dili ve talep edilen izinler, potansiyel kurbanları elemek için kullanılan ipuçlarından biriydi ve bu kişilerin açıkça Güney Kore ve İngilizce konuşulan ülkeleri hedef aldığı ortaya çıktı. Ancak analizlerde Japonya, Vietnam, Rusya, Nepal, Çin, Hindistan, Kuveyt, Romanya ve bazı Orta Doğu ülkelerindeki enfeksiyonlar da ayrıntılı olarak yer alıyor.

Bu bir şeyi gösterir uluslararası düzeyde stratejik çıkar, ya ilgili kişisel bilgilere erişmek ya da politik, ticari veya teknolojik hareketleri gözetlemek için.

Bir Android cep telefonunda casusluk yapmak için Airtag'i kullanın
İlgili makale:
Bir Android cep telefonunda casusluk yapmak için Airtag'i kullanın

Kampanya evrimi ve Google'ın tepkisi

KosPy'nin ilk belgelenmiş hareketi Mart 2022'ye kadar uzanıyor, ancak en son örnekler geçen yılın başlarına kadar uzanıyor.. Google ve Lookout'a göre, kötü amaçlı yazılımın varlığı doğrulandıktan sonra ilgili tüm uygulamalar Play Store'dan kaldırıldı. Ayrıca Google Play Protect, resmi mağazanın dışından indirilse bile bilinen KosPy varyantlarının kurulumunu şu anda engelliyor.

Sin ambargo, Geri çekilmeden önce kaç indirmenin gerçekleştiğine veya tespit edilemeden kaç varyantın dolaşıma girmiş olabileceğine dair kamuya açık bir veri bulunmuyor.. Bu nedenle uygulama izinlerini aktif olarak takip etmeniz, Android'i ve tüm uygulamaları en son güvenlik sürümleriyle güncel tutmanız önerilir.

KosPy, ScarCruft (APT37), Kimsuky (APT43) ve Kuzey Kore istihbaratı arasındaki ilişki

KosPy'nin Kuzey Kore devlet siber casusluğuna atfedilmesi, çeşitli teknik ve altyapı ayrıntılarıyla destekleniyor:

  • Kullanılan altyapı (C2 sunucularına ait IP adresleri ve alan adları) en az 2019 yılından bu yana Kuzey Kore'ye atfedilen önceki saldırılarda kullanılmıştır.
  • Kötü amaçlı uygulamalar, ScarCruft/APT37 kampanyalarıyla teknikleri, taktikleri ve prosedürleri (TTP'ler) paylaşır.
  • Kod ve altyapının bir kısmının Kimsuky/APT43 ile bağlantılı olması, iki grup arasında olası bir işbirliği veya kaynak paylaşımının göstergesi.
  • Çalınan bilginin dili, bölgesel odağı ve türü, geleneksel olarak Kuzey Kore istihbaratıyla ilişkilendirilen çıkarlarla örtüşüyor.

Kuzey Koreli APT grupları arasındaki yöntem ve hedeflerdeki bu örtüşme, bazen belirli bir saldırının %100 doğru olarak nitelendirilememesi anlamına gelse de, güvenlik uzmanları için kaynak açıktır.

En alakalı enfekte uygulamaların listesi

Android cihazınıza yüklediğiniz uygulamalarla ilgili sorularınız varsa, Lookout raporlarında doğrulanan ve medya tarafından bildirilen şu isimlere göz atın:

  • 휴대폰 관리자 (Telefon Yöneticisi)
  • Dosya Yöneticisi
  • 스마트 관리자 (Akıllı Yönetici)
  • Kakao Güvenliği
  • Yazılım Güncelleme Yardımcı Programı

Bu uygulamalar hem şu şekilde dağıtıldı: Google Play Store platformlarda olduğu gibi APKPure gibi alternatifleri indirin. Bunlardan herhangi birini cihazınızda tespit ederseniz, uygulamayı hemen silin ve tüm şifreleri değiştirin. Ayrıca güvenilir bir uygulama ile güvenlik taraması yapın.

İlgili makale:
XNSPY, akıllı telefonunuz için en iyi casus yazılım

KosPy hangi bilgileri çaldı ve bunu nasıl yaptı?

KosPy tarafından toplanan veriye erişim düzeyi ve hacmi, yaygın mobil kötü amaçlı yazılımlar için tipik olanın çok ötesindedir. Çıkarılan bilgiler arasında şunlar yer alıyor:

  • Metin mesajları (SMS ve muhtemelen diğer mesajlaşma servisleri)
  • Çağrı kayıtlarının tüm ayrıntıları: numaralar, süre, saat ve tarih
  • Mobilin gerçek zamanlı konumunun koordinatları
  • Dahili depolama alanındaki belgeler, resimler ve dosyalar
  • Mikrofondan alınan sesler: konuşmalar, ortam, vb.
  • Arka planda kamera etkinleştirildiğinde çekilen fotoğraflar
  • Ekran görüntüleri ve kayıtları, kullanıcının görüntülediği veya yazdığı her şeyi görmenizi sağlar
  • Erişilebilirlik izinlerini kötüye kullanan tuş kaydı
  • Wi-Fi ağ bilgileri ve yüklü uygulamaların listesi

Buna ek olarak, Tüm bu bilgiler korumalı kanallar aracılığıyla komuta ve kontrol (C2) sunucularına şifreli olarak gönderildiBu da geleneksel antivirüs araçlarını kullanarak tespit edilmesini zorlaştırıyordu.

KosPy gibi tuzaklara düşmemek için önemli ipuçları

KosPy'ı keşfettikten sonra danışılan uzmanlar ve analistler, yalnızca Google Play Store'dan uygulama yüklemenin bile mutlak güvenliği garanti etmediğini belirterek aşırı dikkatli olunmasını öneriyor. İpuçları şunlardır:

  • Uygulamaların yorumlarını ve derecelendirmelerini mutlaka kontrol edin ve az yorumu veya olumsuz derecelendirmesi olanlara karşı dikkatli olun.
  • Geliştiricinin adını kontrol edin, onlar hakkında ek bilgi arayın ve güvenilir ve tanınmış bir kuruluş olup olmadıklarına bakın.
  • İndirme sayısına dikkat edin: Uygulama yeniyse veya indirme oranları çok düşükse ekstra dikkatli olun.
  • İşletim sisteminizin ve uygulamalarınızın her zaman güncel olduğundan emin olun; çünkü çoğu güvenlik açığı resmi yamalarla kapatılır.
  • Her uygulamaya yalnızca gerekli izinleri verin. Bir dosya yönetim uygulamasının mikrofona veya kameraya erişim talebinde bulunması alarma neden olur.
  • Tespit edilen virüslü uygulamalardan herhangi biri bilgisayarınızda yüklüyse, bunları derhal kaldırın, şifrelerinizi değiştirin ve tam bir güvenlik kontrolü gerçekleştirin.
  • Koruma ve sürekli izleme seviyenizi artırmak için güvenilir bir mobil güvenlik çözümü kurmayı düşünün.

Küresel tepki ve mevcut durum

KosPy'nin medyada geniş yer bulması ve Lookout liderliğindeki soruşturmanın ardından Google, kontrollerini ve Play Protect sistemini güçlendirerek bu casus yazılımın bilinen tüm varyantlarını engelledi ve kaldırdı. Ayrıca siber güvenlik şirketleri ile teknoloji devleri arasındaki uluslararası iş birliği, bu tehditlerin yaygınlaşmadan önce etkisiz hale getirilmesi açısından büyük önem taşıyor.

KosPy'ın kaldırılmasından bu yana Google Play Store üzerinden kitlesel enfeksiyon vakası ortaya çıkmadı. Ancak saldırganların tekniklerini sürekli olarak geliştirmeleri nedeniyle dikkatli olmak büyük önem taşıyor.

KosPy'nin keşfi, Android ekosisteminde dijital casusluğun giderek daha karmaşık hale geldiğini ve kimsenin kurban olmaktan muaf olmadığını ortaya koydu. Devlet aktörleri ile ScarCruft ve Kimsuky gibi hacker grupları arasındaki iş birliği, resmi mağazaların istismarı ve kendilerini görünüşte zararsız uygulamalar olarak gizleme yeteneği, dijital korumaya yönelik proaktif bir yaklaşımın sürdürülmesinin önemini vurguluyor.

Android'inizi casus kameraya dönüştürme
İlgili makale:
Android'inizi casus kameraya dönüştürme

Bu tehditlere karşı en iyi bariyerler aktif izleme, izinlerin kritik analizi ve sürekli güncellemelerdir. Bilgileri paylaşarak diğer kullanıcıların da haberdar olmasını sağlayın..


Bizi Google Haberler'de takip edin